第 14 回 情 報 セキュリティ シンポジウム 多 様 化 するリテール 取 引 の 安 全 性 モバイル 化 を 支 える 情 報 セキュリティ 技 術 を 中 心 に - 講 演 1- リテール 取 引 システムにおける ICキャッシュカード 機 能 の 活 用 と 将 来 の 発 展 2012-12-20 日 本 銀 行 金 融 研 究 所 情 報 技 術 研 究 センター テクニカル アドバイザー 廣 川 勝 久 本 発 表 に 示 されている 意 見 は 発 表 者 個 人 に 属 し 日 本 銀 行 の 公 式 見 解 を 示 すものではない
概 要 窓 口 での 対 面 取 引 からATM 等 による 非 対 面 取 引 へ 更 にインターネット 環 境 モバイル 環 境 におけるリテール 取 引 への 展 開 が 進 むなかで ICキャッシュカード の 機 能 またはその 相 当 機 能 がどのように 活 用 できるかを 考 える 全 銀 協 ICキャッシュカード 標 準 仕 様 の 基 本 形 導 入 が2012 年 8 月 に 完 了 した 基 本 形 により 実 現 される リテール 取 引 システム 全 体 としてのICカード 機 能 の 本 格 利 用 についてその 概 要 を 再 確 認 しビジネス 上 の 意 味 を 考 える また リテール 取 引 のICカード 化 で 先 行 している 欧 州 SEPAにおける Mature EMV Environment の 考 え 方 を 紹 介 し 米 国 における 今 後 のICカード 化 動 向 も 考 慮 し 債 務 責 任 の 移 行 を 含 めた 国 際 対 応 上 の 課 題 を 検 討 する 更 に EUでGreen paperとして 検 討 が 行 われている Towards an integrated European market for card, internet and mobile payments が 意 図 する ATM 等 の 物 理 的 環 境 におけるリテール 取 引 とモバイル 等 の 論 理 的 環 境 におけ るリテール 取 引 の 統 合 についての 考 え 方 を 紹 介 し 関 連 する 課 題 を 検 討 する 2
アジェンダ はじめに 1. 全 銀 協 ICキャッシュカード 標 準 仕 様 基 本 形 への 移 行 とその 効 果 2. リテール 取 引 システム 全 体 としてのICカード 機 能 の 活 用 3. 海 外 のICカード 化 状 況 と 国 際 間 での 債 務 責 任 の 移 行 4. 物 理 的 環 境 と 論 理 的 環 境 におけるリテール 取 引 統 合 の 構 想 おわりに 3
はじめに 4
リテール 取 引 環 境 の 変 化 金 融 機 関 での 対 面 取 引 非 対 面 取 引 金 融 機 関 以 外 での 取 引 金 融 機 関 の 窓 口 での 対 面 取 引 利 用 者 窓 口 : 通 帳 + 印 鑑 金 融 機 関 等 のATMによる 非 対 面 取 引 利 用 者 ATM: MSカード+PIN +( 通 帳 ) 利 用 者 ATM: ICカード+PIN+( 生 体 認 証 ) +( 通 帳 ) 金 融 機 関 以 外 での 対 面 取 引 非 対 面 取 引 利 用 者 加 盟 店 端 末 : MSカード+PIN/ 署 名 利 用 者 加 盟 店 端 末 : ICカード+PIN / 署 名 * MSカード: 磁 気 ストライプカード * ICカード: ICカード(または 磁 気 併 用 ICカード) 5
リテール 取 引 環 境 の 変 化 インターネット 環 境 モバイル 環 境 での 取 引 ( 例 ) インターネット 環 境 における 取 引 利 用 者 PC(App): ID+PW 利 用 者 PC(App): ID+PW +SET 利 用 者 PC(App): ICカード+PIN +SET 利 用 者 PC(App): ID+PW / OTP +(3D Secure) モバイル 環 境 における 取 引 利 用 者 モバイル 端 末 (App): ID+PW / OTP 利 用 者 モバイル 端 末 (App): SIM+ID+PW / OTP * App: 金 融 取 引 アプリケーション * OTP: One Time PW * SET: Secure Electronic Transaction ( 後 述 ) * SIM: Subscriber / Universal Identity Module (ICカードの 一 種 ) 1 2 3 4 5 6 7 8 9 * 0 # 6
リテール 取 引 環 境 としての 共 通 課 題 ATM 等 の 物 理 的 環 境 におけるリテール 取 引 ICカード 機 能 の 活 用 が 国 際 的 に 進 展 必 須 化 PC モバイル 端 末 等 を 利 用 した 論 理 的 環 境 における リテール 取 引 利 用 者 のPC モバイル 端 末 を 用 いる 多 様 な 方 式 ( 標 準 化 前 ) 取 引 環 境 や 利 用 機 器 が 変 わっても 取 引 の 正 当 性 確 保 は 共 通 の 課 題 ICキャッシュカードのシステムで 実 現 した 機 能 または その 相 当 機 能 は 今 後 どのように 活 用 できるか 7
1. 全 銀 協 ICキャッシュカード 標 準 仕 様 基 本 形 への 移 行 とその 効 果 8
全 銀 協 ICカード 標 準 仕 様 ICカード に 関 する 標 準 仕 様 業 務 面 からみたICカードへの 要 求 仕 様 の 概 念 提 示 マルチアプリケーションを 想 定 した 業 務 分 類 銀 行 間 共 通 業 務 個 別 行 業 務 領 域 貸 与 業 務 マルチアプリケーションを 想 定 した 本 人 確 認 同 一 行 管 理 下 のアプリケーション 用 共 通 PIN 個 別 業 務 用 PIN 金 融 取 引 のためのICカード 取 引 処 理 ISO 9992 シリーズの 考 え 方 に 基 づくICカード 用 メッセージ * ISO 9992 Financial transaction cards - Messages between the integrated circuit card and the card accepting device 金 融 取 引 のためのICカード 搭 載 アプリケーションの 管 理 ISO 10202 シリーズの 考 え 方 に 基 づくセキュリティ 管 理 * ISO 10202 Financial transaction cards - Security architecture of financial transaction systems using integrated circuit cards 9
全 銀 協 ICキャッシュカード 標 準 仕 様 ICカード 利 用 システム に 関 する 標 準 仕 様 ICカード 利 用 システムとしての 要 求 仕 様 の 具 体 化 全 銀 協 ICカード 標 準 仕 様 に 示 された 銀 行 間 共 通 業 務 の 具 体 的 内 容 をシステムとして 定 義 キャッシュカード オンラインデビッカード オフラインデビットカード EMV 仕 様 を 採 用 EMV 仕 様 (EMV Integrated Circuit Card Specifications for Payment Systems) はクレジットカード デビットカードの 業 界 標 準 として 国 際 的 に 普 及 が 進 展 * ISO 9992 及 びISO 10202シリーズの 考 え 方 も 吸 収 ICカードの 共 通 機 能 を 定 めたISO/IEC 7816シリーズ 等 をベースに セキュリティ/リスク 管 理 を 含 むリテールペイメント 用 機 能 を 定 義 * ISO/IEC 7816 Identification cards Integrated circuit(s) cards (with contacts) ICカード( 端 子 付 き) ICカード 及 び 非 接 触 ICカードの 共 通 機 能 10
全 銀 協 ICキャッシュカード 標 準 仕 様 ICカード 化 への 移 行 シナリオ ICカード 利 用 システムとしての 要 求 仕 様 に 基 づく ICカード 化 の 推 進 標 準 仕 様 制 定 時 の 国 内 の 銀 行 間 ATM 接 続 環 境 に 対 応 した ICカードの 利 用 方 法 を 経 過 期 間 中 の 条 件 として 設 定 ICキャッシュカード 機 能 の 本 格 利 用 のために 基 本 形 への 移 行 期 限 を 設 定 統 合 ATMネットワークの 更 改 に 伴 い 2012-05-05~2012-08- 05に 基 本 形 導 入 が 実 施 され これまでの 経 過 期 間 を 終 了 11
キャッシュカード システム 複 数 金 融 機 関 の 提 携 によるICキャッシュカード 対 応 銀 行 ( 等 ) 間 ネットワーク (Interchange Network) 提 携 銀 行 ( 等 ) (Acquiring Bank) オンライン 取 引 承 認 (MSカード/ICカード) カード 発 行 銀 行 (Issuing Bank) 銀 行 ( 等 ) 内 ネットワーク (Acquiring Network) 銀 行 支 店 等 ATM カード カード 所 持 者 カード 真 正 性 確 認 (MSカード/ICカード) 12
全 銀 協 ICキャッシュカード 標 準 仕 様 経 過 期 間 のシステム 運 用 経 過 期 間 では 何 ができたか ATMにおけるICカードの 高 度 な 真 正 性 確 認 が 可 能 EMV 仕 様 に 基 づく DDA(Dynamic Data Authentication 動 的 データ 認 証 ) をATMとICカード 間 に 適 用 ( 経 過 期 間 中 必 須 ) DDAではRSA 公 開 鍵 暗 号 を 用 い 高 度 なICカードの 真 正 性 確 認 を 行 う ATMはDDAの 結 果 に 基 づき 偽 造 カードを 排 除 する ATMは 真 正 性 が 確 認 されたICカードについてオンライン 取 引 承 認 をMSカードと 同 様 の 方 法 で 行 う ( 参 考 ) 経 過 期 間 導 入 当 時 国 際 クレジットカード/デビットカード 業 界 では オンライン 取 引 承 認 のICカード 化 を 優 先 ICカードの 真 正 性 確 認 には DDAを 必 須 にせず SDA(Static Data Authentication 静 的 データ 認 証 ) を 適 用 しICカードの 負 荷 を 軽 減 13
全 銀 協 ICキャッシュカード 標 準 仕 様 基 本 形 のシステム 運 用 基 本 形 で 何 ができるようになったか EMV 仕 様 に 基 づくEnd to Endの 取 引 正 当 性 確 認 が 可 能 システム 全 体 としてICカードの 機 能 を 本 格 活 用 したオンライン 取 引 承 認 が 可 能 になった 提 携 銀 行 ( 等 )のATMにおけるカード 使 用 時 にもMSカード 取 引 か ICカード 取 引 かを 判 定 することが 可 能 になった 発 行 済 ICカードに 対 する 管 理 機 能 も 追 加 が 可 能 になった 不 正 取 引 対 策 としてのICカード 化 推 進 ICカード 国 際 取 引 にも 対 応 可 能 EMV 仕 様 に 基 づく 標 準 仕 様 の 基 本 形 導 入 によって 海 外 発 行 IC カードの 受 入 や 国 内 発 行 ICカードの 海 外 利 用 も 技 術 的 には 可 能 14
2. リテール 取 引 システム 全 体 としての ICカード 機 能 の 活 用 15
リテール 取 引 システムの 全 体 イメージ 銀 行 以 外 の 端 末 での 取 引 を 含 むシステム ペイメントネットワーク (Interchange Network) 提 携 銀 行 加 盟 店 契 約 会 社 (Acquirer) オンライン 取 引 承 認 (MSカード/ICカード) カード 発 行 銀 行 カード 発 行 会 社 (Issuer) ペイメントネットワーク (Acquiring Network) オフライン 取 引 承 認 (MSカード/ICカード) 加 盟 店 端 末 カード カード 所 持 者 カード 真 正 性 確 認 (MSカード/ICカード) 16
リテール 取 引 システムの 全 体 イメージ 簡 略 化 したICカード 利 用 システムのイメージ カード 所 持 者 ホスト システム ネットワーク 端 末 * * 端 末 : ATM 専 用 端 末 PC 等 ICカード 本 人 確 認 カード データの 真 正 性 確 認 端 末 の 真 正 性 確 認 ( 端 末 の 真 正 性 確 認 ) カード データの 真 正 性 確 認 ホストシステムの 真 正 性 確 認 ホストシステムの 真 正 性 確 認 検 証 確 認 取 引 用 情 報 交 換 取 引 用 情 報 交 換 取 引 データ AC AC: アプリケーション クリプトグラム 取 引 データを 反 映 した 暗 号 情 報 17
全 体 システムにおけるICカードの 役 割 利 用 者 のエージェントとして 取 引 処 理 に 対 応 ICカードは 利 用 者 のエージェントとして ホストシステム または 端 末 との 間 で 暗 号 演 算 を 含 む 取 引 処 理 に 対 応 し End to Endの 取 引 正 当 性 を 確 保 利 用 者 の 本 人 確 認 カード 所 持 者 とICカードの 対 応 確 認 取 引 の 正 当 性 確 認 のための 情 報 生 成 取 引 に 固 有 の 暗 号 情 報 AC(Application Cryptogram)を 生 成 同 一 の 場 所 で 連 続 して 同 一 金 額 の 取 引 を 行 なっても 取 引 毎 に 異 な る 値 のACを 生 成 システムの 一 部 としてリスク 管 理 機 能 を 分 担 18
全 体 システムにおけるICカードの 役 割 End to Endの 取 引 正 当 性 確 保 ホストシステム~ 端 末 ~カード 間 がICカード 対 応 済 みの 場 合 暗 号 技 術 の 応 用 による 取 引 情 報 の 検 証 確 認 が 可 能 4. Authorization Response 5. Issuer Authentication 1. Challenge to IC Card 取 引 可 否 + AC AC ホストシステム (カード 発 行 金 融 機 関 ホスト) 端 末 (ATM/ 専 用 端 末 /PC 等 ) ICカード xxxx 1234 5678 9000 取 引 データ + AC AC 3. Challenge/Response & Transaction Data 2. Response from IC Card (AC: アプリケーション クリプトグラム) ホストシステムとICカードは 両 者 が 共 有 するアルゴリズム 暗 号 鍵 等 を 用 いて 処 理 を 行 う 19
全 体 システムにおけるICカードの 役 割 ICカードのリモート 管 理 に 対 応 ホストシステム~ 端 末 ~カード 間 がICカード 対 応 済 みの 場 合 暗 号 技 術 の 応 用 によるICカードのリモート 管 理 が 可 能 ICカードに 対 する 管 理 用 コマンドは 暗 号 化 されて 端 末 を 通 過 ホストシステム (カード 発 行 金 融 機 関 ホスト) 端 末 (ATM/ 専 用 端 末 /PC 等 ) ICカード xxxx 1234 5678 9000 指 定 された 管 理 用 コマンドは Issuer Authenticationが 成 功 の 場 合 のみ 実 行 端 末 は 中 継 するのみ 適 用 例 : PINのブロック 状 態 解 除 リスク 管 理 用 情 報 の 更 新 修 正 20
全 体 システムとしてのリスク 管 理 多 様 な 取 引 環 境 とその 管 理 者 ( 例 ) ホスト システム 自 行 管 理 下 カード 所 持 者 ATM ネットワーク カード 異 なるビジネス 環 境 が 混 在 する 場 合 に どの ようなリスク 管 理 を 行 う べきか ネットワーク ホスト システム 提 携 行 管 理 下 カード 所 持 者 ATM ネットワーク カード 銀 行 以 外 の 管 理 下 カード 所 持 者 ネットワーク ホスト システム ネットワーク カード ネットワーク ホスト システム 銀 行 以 外 の 管 理 下 ネットワーク 1 2 3 4 5 6 7 8 9 * 0 # カード 所 持 者 ( カード ) 21
全 体 システムとしてのリスク 管 理 取 引 環 境 に 関 わる 技 術 的 変 化 への 対 応 暗 号 技 術 の 安 全 性 に 関 する 継 続 的 評 価 EMV 仕 様 に 採 用 されている 暗 号 技 術 ( 現 状 ) 公 開 鍵 暗 号 : RSA 共 通 鍵 暗 号 : 2-Key Triple DES オプションとしてのAES ハッシュ 関 数 : SHA-1 EMVCo Annual RSA Key Lengths Assessment RSA 公 開 鍵 について 鍵 長 別 の 使 用 期 限 を 定 期 的 に 見 直 し 最 新 版 : Notice Bulletin No.16, 2012/10 1152-bit keys: expiry date of 31 December 2017 1408-bit keys: anticipated lifetime to at least 31 December 2022 1984-bit keys: anticipated lifetime to at least 31 December 2022 22
全 体 システムとしてのリスク 管 理 取 引 環 境 に 関 わる 技 術 的 変 化 への 対 応 暗 号 技 術 の 高 度 化 EMVCo New Cryptography Drafts (2007/06) RSAの 鍵 長 が 現 行 の 上 限 である1984 bitsを 超 える 必 要 が 生 じる 場 合 に 備 えて3 種 類 のオプションを 想 定 RSA+: Continue using the RSA algorithm with expanded key lengths (up to twice the current maximum of 1984 bits) for the Payment System CA keys and the Issuer keys, but keep the current maximum length for the ICC keys RSA++: Continue using the RSA algorithm as per RSA+ but also extend the ICC key lengths ECC: Replace the RSA cryptography with Elliptic Curve Cryptography (ECC) 23
全 体 システムとしてのリスク 管 理 取 引 環 境 に 関 わる 利 用 技 術 の 変 化 への 対 応 非 接 触 ICカードへの 対 応 EMV Contactless Specifications for Payment Systems (EMV 非 接 触 ICカード 仕 様 )では 同 仕 様 とは 別 に 非 接 触 IC カード 取 引 用 の 上 限 額 が 定 められていることを 想 定 非 接 触 ICカード 用 のフロアリミットには 従 来 のEMV 仕 様 のフロア リミットより 低 い 上 限 額 を 設 定 して 運 用 することを 想 定 日 本 以 外 の 主 要 国 において 本 人 確 認 を 行 わない 取 引 の 上 限 額 は 日 本 円 換 算 で2,000~3,000 円 程 度 例 : 25 米 ドル, 15ユーロ, 10ポンド, 35 豪 ドル, モバイル 端 末 への 対 応 EMV 非 接 触 ICカード 仕 様 ではモバイル 端 末 にICカード 機 能 が 搭 載 され 非 接 触 ICカード 対 応 端 末 との 間 で 取 引 が 行 われる 場 合 は 非 接 触 ICカードと 同 等 に 扱 うことが 想 定 されている 24
全 体 システムとしてのリスク 管 理 取 引 環 境 に 関 わる 利 用 技 術 の 変 化 への 対 応 非 接 触 ICカード 機 能 の 併 用 ( 事 例 ) 英 国 3-in-1 Card (Barclaycard OnePulse) Oyster Contactless card: Pay as you go, Auto top-up OneTouch Contactless payment (~ 10) Chip and PIN IC Credit Card (with contacts) 出 典 :Transport for London News October 07, 2007 他 (www.tfl.gov.uk/assets/downloads/businessandpartners/tfl-news-october-07.pdf) OneTouch ( 英 国 発 行 カードに 限 定 ) Oyster ( 交 通 用 途 に 限 定 ) Chip and PIN ( 汎 用 クレジット) 25
リテール 取 引 システムの 全 体 イメージ 非 接 触 ICカード 及 びモバイル 端 末 の 導 入 ペイメントネットワーク (Interchange Network) 提 携 銀 行 加 盟 店 契 約 会 社 (Acquirer) オンライン 取 引 承 認 ( 非 接 触 ICカード) カード 発 行 銀 行 カード 発 行 会 社 (Issuer) ペイメントネットワーク (Acquiring Network) 端 末 とカード 間 の 通 信 は 攻 撃 の 対 象 加 盟 店 非 接 触 ICカード 対 応 端 末 オフライン 取 引 承 認 ( 非 接 触 ICカード) 非 接 触 ICカード (モバイル 端 末 ) カード 所 持 者 カード 真 正 性 確 認 ( 非 接 触 ICカード) 26
全 体 システムとしてのリスク 管 理 非 接 触 ICカード 対 応 のシナリオ EMVCoの 非 接 触 ICカード 導 入 シナリオ EMVCo Common Contactless Terminal Roadmap (General Bulletin No.43, 2009/11) 非 接 触 ICカードへの 既 存 投 資 を 活 かしつつ 共 通 アクセプタンスへ 27
全 体 システムとしてのリスク 管 理 非 接 触 ICカード 対 応 のシナリオ EMVCoの 非 接 触 ICカード 導 入 シナリオ EMVCo Common Contactless Terminal Roadmap (General Bulletin No.43, 2009/11) 3 フェーズに 分 けた 非 接 触 IC カードの 共 通 アクセプタンス 構 築 Ph.1: Streamlining Existing Processes Ph.2: Common Online Kernel Ph.3: Common Contactless Kernel アクセプタンスの 共 通 化 は Online only markets から(Ph.2) ECC やSHA-3によって Offline capable markets も 対 象 に(Ph.3) 非 接 触 ICカードへのECC 等 の 適 用 (Ph.3)に 合 わせて EMVCo New Cryptography Drafts に 示 されたECC 等 をIC カード( 端 子 付 き)に 適 用 及 び 既 存 環 境 からの 移 行 を 検 討 する ことにより 暗 号 アルゴリズムの2010 年 問 題 にも 対 応 可 能 28
3. 海 外 のICカード 化 状 況 国 際 間 での 債 務 責 任 の 移 行 29
海 外 のICカード 化 状 況 SEPA SEPA: Single Euro Payments Area 32ヵ 国 : EU 27ヵ 国 アイスランド リヒテンシャタイン ノルウェー スイス モナコ 人 口 : 500 百 万 人 E-Payment: 71.5 billion transaction (annually) EPC: The European Payment Council が 推 進 支 援 http://www.europeanpaymentscouncil.eu/index.cfm (Wikipedia-Single Euro Payments Area から) (EPC Home page から) 30
海 外 のICカード 化 状 況 欧 州 が 先 行 日 本 は 進 行 中 米 国 は 開 始 を 表 明 欧 州 SEPAのICカード 化 状 況 (EPC 公 表 データ) EMV 比 率 (2011 末 ): カード 87.2% POS 94.2% ATM 96.7% POSにおけるEMV 取 引 (2012/06): 82.1% ATMにおける 不 正 カード 取 引 (EMV 導 入 開 始 ~2010): 36% 減 少 日 本 のICカード 化 状 況 ( 金 融 庁 公 表 データ:キャッシュカード) EMV 比 率 (2012/03 末 ): キャッシュカード 17.5% ATM 86.4% 生 体 認 証 対 応 率 ( 同 上 ): キャッシュカード 10.6% ATM 48.0% 上 記 キャッシュカード 以 外 にクレジットカードのICカードが 進 展 中 米 国 のICカード 化 状 況 クレジットカード 国 際 ブランドによるICカード 化 は 米 国 外 で 先 行 米 国 でのICカード 化 進 展 は 今 後 ( 開 始 を 表 明 ) 31
SEPAにおけるICカード 化 進 展 後 の 課 題 EPC 決 議 : カードの 磁 気 情 報 不 正 利 用 対 策 EPC Resolution: Preventing Card Fraud in a mature EMV Environment EPC 総 会 (2011-01-31)は 二 つの 決 議 によってEMV 仕 様 のIC カード 化 進 展 後 の 重 要 課 題 を 示 している カードの 磁 気 情 報 不 正 利 用 対 策 (Resolution #1) 磁 気 併 用 ICカードの 磁 気 情 報 とICカード 未 対 応 環 境 SEPA 発 行 カードの 磁 気 情 報 がSEPA 以 外 で 不 正 使 用 される 日 本 発 行 カードの 磁 気 情 報 が 海 外 で 不 正 使 用 される 事 例 に 対 応 Cross-regional Liability Shifts ( 域 間 での 債 務 責 任 の 移 行 ) 実 施 2015-10-01 ( 遅 くとも2015 年 末 まで) MSフォールバック 制 限 口 座 番 号 手 入 力 禁 止 の 再 確 認 オプションとしての Chiponly Approach の 検 討 32
SEPAにおけるICカード 化 進 展 後 の 課 題 EPC 決 議 : インターネット 環 境 等 における 対 策 Card-Not-Present Transaction 対 策 (Resolution #2) Issuing side は 適 切 なAuthentication solutions( 例 示 )の 適 用 を 2013 年 末 (at the latest)までに 行 う Risk-based authentication Challenge-response mechanism Dual channel authentication such as SMS Hardware based authentication such as a token or chip reader Virtual cards Or any innovative solutions considered effective by payment schemes The above should be combined with appropriate risk management tools 上 記 に 未 対 応 または 対 応 計 画 未 提 出 の 場 合 :CVX2を 必 須 化 する * CVX2: CVV2またはCVC2 33
ICカード 化 の 進 展 と 債 務 責 任 の 移 行 ICカード 化 の 進 展 状 況 の 差 とビジネスリスクの 差 ICカード 対 応 の 遅 れたところにビジネスリスクが 発 生 SEPA 内 ではICカード 処 理 SEPA 外 ではMSカード 処 理 磁 気 併 用 ICカードの 磁 気 情 報 が 不 正 使 用 される IssuerがICカードを 発 行 してもAcquirerのICカード 対 応 が 無 ければ MSカードとして 処 理 されリスクが 発 生 ビジネス 上 のリスクに 伴 う 債 務 責 任 の 移 行 実 施 Issuer / Issuing BankからAcquirer / Acquiring Bankへの Liability Shift 34
リテール 取 引 システムの 全 体 イメージ 債 務 責 任 の 移 行 (Liability Shift)とは ( 不 正 取 引 に 関 する 債 務 責 任 ) 債 務 責 任 ( 移 行 時 ) 提 携 銀 行 加 盟 店 契 約 会 社 (Acquirer) ペイメントネットワーク (Interchange Network) オンライン 取 引 承 認 (MSカード/ICカード) カード 発 行 銀 行 カード 発 行 会 社 (Issuer) 債 務 責 任 ( 通 常 ) ペイメントネットワーク (Acquiring Network) ICカード 未 対 応 ICカード 対 応 済 み オフライン 取 引 承 認 (MSカード/ICカード) 加 盟 店 端 末 カード カード 所 持 者 カード 真 正 性 確 認 (MSカード/ICカード) 35
国 際 間 の 債 務 責 任 の 移 行 への 対 応 欧 州 SEPA とVisaは 債 務 責 任 の 移 行 時 期 を 明 示 債 務 責 任 の 移 行 実 施 : 2015-10-01 日 本 の 国 内 市 場 規 模 の 変 化 と 国 際 ビジネス 国 内 の 市 場 規 模 が 十 分 でなくなれば ビジネスの 国 際 化 が 必 要 ICカード 化 で 先 行 している 地 域 或 いは 今 後 進 展 する 地 域 と 接 続 す る 場 合 は 債 務 責 任 の 移 行 の 対 象 とならないよう 対 応 が 必 要 対 応 の 遅 れは 海 外 の 相 手 先 とのビジネス 関 係 上 マイナス ICカード 化 遅 れ: 債 務 責 任 の 移 行 を 求 めることができない 端 末 のICカード 対 応 遅 れ: 債 務 責 任 の 移 行 を 求 められる 関 係 ネットワーク 等 のICカード 対 応 遅 れ: 上 記 の 両 方 36
4. 物 理 的 環 境 と 論 理 的 環 境 における リテール 取 引 統 合 の 構 想 37
EUの 成 長 戦 略 域 内 取 引 活 性 化 のためのリテール 取 引 の 進 化 EUは2020 年 に 向 けての 成 長 戦 略 を 策 定 域 内 活 性 化 のためのリテール 取 引 の 進 化 を 模 索 EU Green Paper Towards an integrated European market for card, internet and mobile payments を 公 表 2012-01-11 発 表 White Paperに 向 けて 検 討 継 続 中 次 の 事 項 等 につき 課 題 とその 対 策 を 調 査 検 討 Market access and entry for existing and new service providers Payment security and data protection Transparent and efficient pricing of payment services Technical standardisation Inter-operability between service providers 38
EUの 成 長 戦 略 物 理 的 環 境 と 論 理 的 環 境 におけるリテール 取 引 統 合 の 構 想 EU Green Paper Towards an integrated European market for card, internet and mobile payments 現 状 ( 事 例 )-SEPA 内 のオンラインショッピング: 国 境 を 越 える 取 引 は 同 一 国 内 の 取 引 の10% 程 度 国 境 を 越 えた 取 引 を 活 性 化 するためには ATM 等 の 物 理 的 環 境 におけるリテール 取 引 とモバイル 等 の 論 理 的 環 境 におけるリテー ル 取 引 の 統 合 的 扱 いが 必 要 との 考 え 方 を 提 示 そのうえで 統 合 の 障 害 になる 事 項 とその 対 策 を 調 査 検 討 当 初 計 画 では2012/12にWhite Paperを 策 定 継 続 して 動 向 を 把 握 する 必 要 があるが 現 在 は 発 表 待 ち 39
ICカード 化 の 過 程 で 実 現 した 機 能 の 活 用 ICカード 化 の 過 程 で 実 現 した 取 引 の 正 当 性 確 保 のた めの 機 能 はインターネット 環 境 モバイル 環 境 でも 活 用 可 能 と 考 えられる 以 下 は 参 考 事 例 SET(Secure Electronic Transaction) Purchase OrderとPayment Instructionを 分 離 する 考 え 方 は 重 要 初 期 設 定 の 難 しさ 等 のため 普 及 には 至 らず Chip Electronic Commerce EMV 仕 様 のICカードを 用 いたインターネット 取 引 パイロットシステムでEnd to End の 取 引 正 当 性 確 保 を 実 証 PCへのICカードR/W 付 加 が 普 及 しなかったため 実 用 化 は 保 留 現 在 はSIMにICカードと 同 等 の 機 能 を 搭 載 して 利 用 することも 可 能 40
おわりに 41
おわりに (1/2) 全 銀 協 ICキャッシュカード 標 準 仕 様 の 基 本 形 導 入 完 了 は 大 きな 前 進 End to Endの 取 引 正 当 性 確 保 へのICカード 機 能 の 活 用 が 可 能 基 本 形 導 入 によって 海 外 発 行 ICカードの 受 入 や 国 内 発 行 ICカード の 海 外 利 用 のための 技 術 的 環 境 が 進 展 実 施 のためには 国 際 間 でICカード 対 応 のシステム 接 続 が 必 要 リテール 取 引 におけるICカード 対 応 の 遅 れは 国 際 的 な 債 務 責 任 の 移 行 の 対 象 SEPAのICカード 化 先 行 と 米 国 のICカード 化 開 始 に 留 意 が 必 要 国 内 市 場 規 模 の 変 化 に 伴 い 国 際 ビジネスへの 展 開 を 図 る 場 合 に はシステム 全 体 としてのICカード 対 応 への 十 分 な 考 慮 が 必 要 42
おわりに (2/2) リテール 取 引 の 環 境 が 変 化 してもビジネス 上 のリスク 管 理 には 共 通 の 課 題 が 存 在 ATM 等 の 物 理 的 環 境 におけるリテール 取 引 にも インターネット 及 びモバイル 等 の 論 理 的 環 境 におけるリテール 取 引 にも End to Endの 取 引 正 当 性 確 保 が 重 要 ICカードとSIMはインターネット 環 境 モバイル 環 境 におけるリテー ル 取 引 でも 上 記 課 題 の 解 決 のために 活 用 可 能 なSecure Element 情 報 セキュリティ 技 術 は 常 に 変 化 している ECC 等 を 含 む 暗 号 技 術 の 高 度 化 Main-in-the-Middle Man-inthe-Browser 等 の 新 たに 顕 現 化 した 攻 撃 への 対 策 も 含 め リテー ル 取 引 システムにおける 利 用 者 のエージェントとしてICカードの 機 能 またはその 相 当 機 能 を 活 用 することが 重 要 43
参 考 情 報 EMV Integrated Circuit Card Specifications for Payment Systems EMVCo Annual RSA Key Lengths Assessment, Notice Bulletin No.16, 2012/10 EMVCo New Cryptography Drafts, 2007/06 EMV Contactless Specifications for Payment Systems EMVCo Common Contactless Terminal Roadmap, General Bulletin No. 43, 2009/11 European ATM Fraud Losses down 36 Percent, EPC Newsletter Issue 6, 2010/04 Data reflecting the progress of migration to SEPA, EPC Newsletter Issue 16, 2012/10 EU Green Paper Towards an integrated European market for card internet and mobile payments, 2012-01-11 第 14 回 情 報 セキュリティ シンポジウム リテール 取 引 システムにおけるICキャッシュカード 機 能 の 活 用 と 将 来 の 発 展 44